Modelo Operativo de TI

y Seguridad de la Información

Una visión integral sobre la gobernanza y protección de activos digitales en la era moderna.

Grupo 01

Presentación Web Inmersiva

01. El Corazón de la Estrategia

El Modelo Operativo de TI (MO-TI) no es solo un diagrama técnico; es el motor que alinea la tecnología con los objetivos del negocio.

¿Qué es?

Un instrumento estratégico para gestionar capacidades tecnológicas de forma coherente y eficiente.

Objetivo

Transformar la inversión en TI en valor real para la organización.

02. Los Pilares del MO-TI

La estructura se fundamenta en tres ejes críticos:

⚖️

Gobernanza

Toma de decisiones y rendición de cuentas.

🎯

Estrategia

Visión a largo plazo y priorización.

🏢

Organización

Roles, cultura y talento humano.

03. Seguridad Transversal

La seguridad de la información no es un componente aislado, es una función transversal.

🛡️ Integrada en el diseño (Security by Design)
⚡ Presente en la operación diaria
📊 Medida en el soporte y mejora continua

"Tratar la seguridad como un silo es uno de los errores más comunes y costosos."

04. El Ecosistema Global

No son excluyentes, son complementarios. El éxito radica en su integración:

ISO 27001
Gobernanza y Requisitos

COBIT
Gobernanza de TI

ITIL
Gestión de Servicios

NIST CSF
Ciberseguridad

05. ISO 27001: El Estándar

El marco definitivo para implementar un SGSI (Sistema de Gestión de Seguridad de la Información).

Principios Clave:

Confidencialidad, Integridad y Disponibilidad (La Tríada CIA).

06. COBIT e ITIL 4

COBIT 2019

Enfocado en la alineación estratégica. Define "qué" se debe hacer para gobernar la tecnología.

ITIL 4

Enfocado en el "cómo". Estandariza procesos como Gestión de Incidentes, Cambios y Problemas.

07. NIST Cybersecurity Framework

Estructurado en 5 funciones centrales para una respuesta ágil:

Identificar Proteger Detectar Responder Recuperar

08. El Sector Financiero

Un entorno de exigencia extrema debido a:

Sensibilidad extrema de los datos bancarios.
Regulación estricta (SBS en Perú).
Perfil de alto riesgo frente a ataques sofisticados.

09. Resiliencia: Continuidad del Negocio

RTO

Recovery Time Objective

Tiempo máximo permitido para restaurar un servicio.

RPO

Recovery Point Objective

Punto máximo tolerado de pérdida de datos.

10. El Factor Humano

El eslabón más débil de la cadena. Ninguna tecnología puede compensar la falta de conciencia.

⚠️ Phishing y falta de capacitación son las principales brechas.

11. Construyendo Cultura

La seguridad debe ser parte del ADN organizacional:

🔹 Simulacros de phishing periódicos.

🔹 Formación adaptada a perfiles de riesgo.

🔹 Compromiso visible de la alta dirección.

12. DevSecOps

Integrar la seguridad en el ciclo de vida del software desde el día 1.

                    CODE -> BUILD -> SECURE
                    -> DEPLOY -> MONITOR
                

13. Lo que se mide, se mejora

Indicadores clave para el desempeño de seguridad:

MTTD (Mean Time to Detect)
MTTR (Mean Time to Respond)

% de parches aplicados a tiempo
Nivel de madurez NIST

14. Ruta de Madurez: Inicial

Para organizaciones que comienzan su camino:

✅ Definir roles y responsabilidades claros.
✅ Estandarizar procesos básicos (Gestión de Incidentes).
✅ Implementar MFA (Autenticación Multifactor).

15. Ruta de Madurez: En Proceso

🛡️ Buscar certificación ISO 27001.
🔍 Gestión de vulnerabilidades continua.
📅 Probar formalmente el Plan de Continuidad (BCP).

16. Ruta de Madurez: Avanzado

Zero Trust: Eliminar la confianza implícita en la red.

SOC 24/7: Detección y respuesta proactiva.

Threat Intelligence: Anticipar ataques específicos.

Conclusiones Finales

"El MO-TI es la brújula; la seguridad es el escudo."

La correcta implementación trasciende lo técnico y requiere compromiso cultural y estratégico.

Gracias por su atención
Grupo 01